I controlli Green Pass tramite totem devono essere in linea con il Gdpr
Lo prevede l’articolo 13 comma 5 del Dpcm 17 giugno 2021 combinato con le linee guida del Dpcm del 12 ottobre in ambito lavorativo e in materia di condotta per le pubbliche amministrazioni, nonché confermato dal Garante della privacy nel parere 363 del 12 ottobre 2021, in relazione all’obbligo di controllo a carico dei datori di lavoro introdotto degli articoli 9-quinquies e 9-septies del Dl 52/2021.
La previsione normativa della possibilità di raccogliere i dati dell’intestatario del green pass al solo fine di applicare le misure previste in caso di accertamento del mancato possesso della certificazione verde (assenza ingiustificata e non retribuita, sanzione disciplinare comminata dal datore e sanzione amministrativa comminata dal Prefetto) è stata sicuramente un’apertura rispetto all’originario divieto di raccolta previsto per l’attività di verifica del green pass.
La presenza in azienda di un sistema costituito da totem per la verifica delle certificazioni, terminali di lettori badge per il controllo accessi con attivazione automatica di tornelli e software di gestione presenze comporta, per il suo funzionamento, il controllo automatico e il trattamento di dati personali presenti nei database dell’organizzazione.
Affinché il sistema integrato funzioni e identifichi correttamente il lavoratore è necessaria la creazione di una tabella intermedia e temporanea di conciliazione tra alcuni dei dati letti dal totem, (nome, cognome, data di nascita) e da questo prodotti (esito della validità del green pass,) con quelli provenienti dalla lettura del badge (numero e data di nascita per eventuali omonimie) al fine di validare la timbratura, consentire o meno la registrazione della presenza a seconda dell’esito della verifica, o notificare all’ufficio del personale il divieto di entrata in caso di accertata invalidità. In questo ultimo caso, il dipendente ha sempre diritto di chiedere un secondo riscontro con l’app Verifica C19 installata su smartphone.
Da qui la necessità di trattare i dati residenti nella tabella di verifica intermedia e temporanea fino all’ora di chiusura dell’attività aziendale (con successiva cancellazione), oppure per il tempo necessario ad attivare la procedura relativa al divieto di accesso.
I produttori di totem e software devono fornire garanzie in merito al rispetto del Gdpr, effettuare una valutazione d’impatto (Dpia), ispirarsi ai principi della protezione dei dati fin dalla progettazione e per impostazione predefinita, così come precisato nel Parere del garante.
L’azienda che acquista il totem deve predisporre una procedura che individui le modalità operative per l’organizzazione delle verifiche (articolo 3, comma 5, del Dl 127/2021), quindi censire e descrivere le modalità di trattamento, individuare un eventuale periodo di trattamento per quei dati strettamente necessari (nome, cognome, data di nascita, esito green pass) che potranno essere di alcune ore o di giorni, a seconda dell’esito della verifica e mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato a rischi presentati dal trattamento. L’esito della verifica del green pass non può comunque mai essere oggetto di associazione e/o di profilazione per altre finalità, conformemente a quanto previsto dall’articolo 22 del Gdpr applicabile in materia di controllo massivo.
Fonte: Il Sole 24 Ore del 9 novembre 2021(di Barbara Massara e Luigi Rendina)